Nei sistemi di protezione Kerberos sono disponibili due tipi di ticket: ticket di concessione ticket e ticket di servizi. Per accedere a un'applicazione di Kerberos, è necessario prima ottenere un ticket di concessione ticket (TGT).
Ticket di concessione ticket
Quando un utente richiede l'accesso a un servizio che necessita dell'autenticazione Kerberos, il KDC genera un TGT costituito dal nome principale dell'utente, dalla durata del ticket e da una chiave di sessione univoca. Tutti questi elementi vengono crittografati con la chiave master per il KDC. Il KDC restituisce questo TGT al client Kerberos con una copia della chiave univoca della sessione crittografata con una chiave derivata dalla password dell'utente. Se il client Kerberos è in grado di decrittografare la chiave della sessione (e pertanto l'utente conosce la password), può utilizzare la chiave della sessione e il TGT per ottenere un ticket di servizio.
Dopo la concessione di un TGT valido, il client Kerberos ottiene i ticket di servizio per il nome principale ogni volta in cui viene richiesto l'accesso a un'applicazione di Kerberos per tutta la durata del ticket di concessione ticket. Per tutto il periodo di validità del TGT, è possibile eseguire l'accesso alle applicazioni di Kerberos in base alle necessità, senza dovere ottenere altri TGT.
Un ticket rinnovabile è un TGT particolare con un flag impostato che ne indica la possibilità di rinnovo. Quando la scadenza di un TGT è imminente, l'utente può richiederne il rinnovo. Se il TGT è rinnovabile, il KDC invia al client Kerberos un nuovo TGT valido per il periodo di tempo specificato nella scheda Kerberos della finestra di dialogo Proprietà di protezione. La durata massima e il numero di rinnovi vengono impostati dall'amministratore di sistema del KDC.
Un ticket inoltrabile è un TGT che può essere trasmesso a un altro host per ottenere ticket di servizio per servizi aggiuntivi senza dovere ripetere il processo di autenticazione con il KDC. I ticket che sono stati già inoltrati possono essere inoltrati di nuovo.
Ticket di servizio
Per potere accedere a un servizio che richiede l'autenticazione Kerberos, è necessario che l'applicazione client presenti un ticket di servizio valido. Quando il client Kerberos invia una richiesta di ticket di servizio insieme a un TGT valido, il KDC rilascia un ticket di servizio costituito dal nome principale dell'utente, una nuova chiave di sessione per la workstation e il servizio da utilizzare per questa sessione. Tutti questi elementi vengono crittografati con la chiave master del servizio. Il KDC restituisce il ticket di servizio al client Kerberos con il nome del servizio richiesto e una copia della nuova chiave di sessione crittografati con la chiave della sessione TGT originale.
Il client Kerberos utilizza la chiave della sessione originale per decrittografare il messaggio ed estrarre il ticket di servizio e la chiave che verranno utilizzati per stabilire una sessione con il servizio.
In genere, i ticket di servizio rimangono validi per tutta la durata del TGT. Un nuovo ticket di servizio è necessario per accedere a un host diverso e, in alcuni casi, quando viene richiesto un servizio diverso sullo stesso host.